Empresa ReversingLabs resultados de análise de aplicação no repositório RubyGems. Normalmente, typosquatting é usado para distribuir pacotes maliciosos projetados para fazer com que um desenvolvedor desatento cometa um erro de digitação ou não perceba a diferença ao pesquisar. O estudo identificou mais de 700 pacotes com nomes semelhantes aos pacotes populares, mas que diferem em pequenos detalhes, como a substituição de letras semelhantes ou o uso de sublinhados em vez de travessões.
Componentes suspeitos de realizar atividades maliciosas foram encontrados em mais de 400 pacotes. Em particular, o arquivo interno era aaa.png, que incluía código executável no formato PE. Esses pacotes foram associados a duas contas através das quais RubyGems foi postado de 16 a 25 de fevereiro de 2020 , que no total foram baixados cerca de 95 mil vezes. Os pesquisadores informaram a administração do RubyGems e os pacotes maliciosos identificados já foram removidos do repositório.
Dos pacotes problemáticos identificados, o mais popular foi o “atlas-client”, que à primeira vista é quase indistinguível do pacote legítimo “". O pacote especificado foi baixado 2100 vezes (o pacote normal foi baixado 6496 vezes, ou seja, os usuários erraram em quase 25% dos casos). Os pacotes restantes foram baixados em média 100-150 vezes e foram camuflados como outros pacotes usando uma técnica semelhante de substituição de sublinhados e travessões (por exemplo, entre : appium-lib, action-mailer_cache_delivery, activemodel_validators, asciidoctor_bibliography, assets-pipeline, apress_validators, ar_octopus-replication-tracking, aliyun-open_search, aliyun-mns, ab_split, apns-polite).
Os pacotes maliciosos incluíam um arquivo PNG que continha um arquivo executável para a plataforma Windows em vez de uma imagem. O arquivo foi gerado usando o utilitário Ocra Ruby2Exe e incluiu um arquivo auto-extraível com um script Ruby e um interpretador Ruby. Ao instalar o pacote, o arquivo png foi renomeado para exe e lançado. Durante a execução, um arquivo VBScript foi criado e adicionado à execução automática. O VBScript malicioso especificado em um loop analisou o conteúdo da área de transferência em busca de informações que lembrassem endereços de carteiras criptografadas e, se detectado, substituiu o número da carteira com a expectativa de que o usuário não notasse as diferenças e transferisse fundos para a carteira errada .
O estudo mostrou que não é difícil conseguir a adição de pacotes maliciosos a um dos repositórios mais populares, e esses pacotes podem passar despercebidos, apesar de um número significativo de downloads. Deve-se notar que o problema RubyGems e cobre outros repositórios populares. Por exemplo, no ano passado, os mesmos investigadores no repositório NPM existe um pacote malicioso chamado bb-builder, que usa uma técnica semelhante de lançar um arquivo executável para roubar senhas. Antes disso havia um backdoor dependendo do pacote NPM de fluxo de eventos, o código malicioso foi baixado cerca de 8 milhões de vezes. Pacotes maliciosos também no repositório PyPI.
Fonte: opennet.ru